De impact van nieuwe Europese privacyverordening

De Wet Bescherming Persoonsgegevens (Wpb) wordt per 25 mei 2018 vervangen door een Europese privacyverordening, genaamd de Algemene Verordening Gegevensbescherming (AVG).

Het doel van de AVG is:

  • Uitbreiding van de privacyrechten
  • Organisaties die persoonsgegevens verzamelen en bewerken krijgen meer verantwoordelijkheid
  • Toezichthouders (in Nederland de Autoriteit Persoonsgegevens) krijgen betere mogelijkheden voor handhaving

Het is dus zaak om jouw organisatie en middelen goed onder de loep te nemen om ervoor te zorgen dat alles aan de nieuwe eisen voldoet. De website https://www.hulpbijprivacy.nl/ van de Autoriteit Persoonsgegevens geeft nuttige informatie en tools zoals het document AVG in een notendop (met links naar betreffende plek op de AP site), een AVG Regelhulp en het AVG-10 stappenplan waarmee je jouw organisatie kunt voorbereiden op de AVG. De laatste hebben we zo kort en begrijpelijk mogelijk proberen samen te vatten:

Stap 1: Bewustwording

Intern moeten de relevante mensen op de hoogte zijn van de nieuwe privacyregels. Men moet weten wat de implicaties kunnen zijn (bv. bij privacy verzoeken van betrokkenen) en er moeten maatregelen genomen worden zodat alle documenten en werkwijzes voldoen aan de aangescherpte/nieuwe regels. Verder is het voldoen aan de AVG iets wat een structureel onderdeel van de manier van werken moet worden, en niet iets wat je eenmalig regelt.

Stap 2: Rechten van betrokkenen

Er zijn verschillende privacyrechten gedefinieerd: het recht op dataportabiliteit, vergetelheid, inzage, rectificatie en aanvulling, recht op beperking van de verwerking, recht t.a.v. geautomatiseerde besluitvorming en profilering, recht om bezwaar te maken tegen de gegevensverwerking, recht op duidelijke informatie. Een organisatie moet bijvoorbeeld uiterlijk binnen een maand aan verzoeken van mensen t.a.v. hun privacyrechten kunnen voldoen. Een klant moet bijvoorbeeld binnen een maand van een inzageverzoek in een gangbaar formaat (bv. Excel) de informatie kunnen krijgen. Zorg dat de klantenservice weet wat en inzageverzoek is.

Stap 3: Overzicht verwerkingen

Alleen voor organisaties met meer dan 250 werknemers of bij risicovolle verwerkingen zoals het opstellen van klantprofielen of het verwerken van grote hoeveelheden gegevens is het nodig om gegevensverwerkingen in kaart te brengen. Documenteer welke persoonsgegevens er verwerkt worden, met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt.

Stap 4: Data protection impact assessment (DPIA) / Privacy Impact Assessment (PIA)

Uitvoeren van een DPIA is nodig als de gegevensverwerking een hoog privacyrisico opleverd. Bijvoorbeeld als je bezig bent met profiling, waarbij er op grote schaal bijzondere persoonsgegevens verwerkt worden.

Stap 5: Privacy by design & privacy by default

Producten en diensten moeten ‘privacy-proof’ ontwikkeld worden en ingesteld zijn. Een ontwerp moet bijvoorbeeld zo min mogelijk/alleen noodzakelijke persoonsgegevens verzamelen (toegankelijkheid en periode dat het bewaard wordt).

Stap 6: Functionaris voor de gegevensbescherming (FG)

Het is verplicht om een FG aan te stellen voor overheidsinstanties en publieke organisaties (bv. zorg of onderwijsinstellingen). Andere organisaties zijn ertoe verplicht als de kernactiviteiten bestaan uit het op grote schaal volgen van individuen of als er met bijzondere persoonsgegevens gewerkt wordt (gezondheid, ras, politieke opvattingen, geloofsovertuiging, strafrechtelijke verleden).

Stap 7: Meldplicht datalekken

Organisaties zijn verplicht om datalekken te registreren en te melden bij de AP. Als er een hoog risico is voor de betrokkenen, dienen die ook geïnformeerd te worden.

Stap 8: Verwerkersovereenkomsten

Als er gegevens gedeeld worden met derden, dient er met die partij(en) een verwerkersovereenkomst opgesteld te worden. Dit was al verplicht, echter nu zijn er specifieke punten opgenomen. Het komt erop neer dat je niet zonder toestemming van een gebruiker de persoonsgegevens aan derden mag verstrekken.

Stap 9: Leidende toezichthouder

Als je vestigingen in het buitenland hebt of er met persoonsgegevens van personen uit het buitenland gewerkt wordt, is de toezichthouder in het land van de hoofdvestiging leidend.

Stap 10: Toestemming

Naast het verkrijgen van toestemming van personen is het nodig om te kunnen aantonen dat er geldige toestemming van mensen verkregen is. En dat het voor mensen net zo makkelijk moet zijn om hun toestemming in te trekken.

Custom Website helpt graag om jouw organisatie te laten voldoen aan de AVG. Zo kunnen we helpen om de AVG wetgeving te leren begrijpen, te vertalen naar de situatie van jouw organisatie, en het implementeren van bepaalde online middelen voor jouw website of webshop. Denk bijvoorbeeld aan het plaatsen van een privacyverklaring of cookiemelding. Maar als je dat zelf al hebt gedaan of gaat doen, kunnen we ook alleen de nodige wijzigingen op de website of webshop doorvoeren.

Neem gerust contact met ons op om te kijken wat voor jou de beste manier is. 

Geplaatst op 20 februari 2018

Meer nieuws

2 jan
De belangrijkste webdesign trends voor 2018

11 dec
Hoe kies ik het juiste internetbureau?

7 dec
Waarom heeft Custom Website een eigen CMS?

20 nov
Wanneer moet ik een nieuwe, responsive website laten maken

14 nov
Hoe beoordeelt Google uw website?

7 nov
Waarom heb ik een SSL beveiligingscertficaat nodig?

18 okt
Kom langs op onze nieuwe locatie!

20 jun
Fashion sterke stijger in online bestedingen

2 jun
Ruim 1 miljard euro besteed bij Europese webwinkels

Vraag adviesgesprek aan

Waarom Custom Website

  • Full service internetbureau
  • Alles onder een dak
  • Snelle hosting
  • Maatwerk software oplossingen
  • Persoonlijk contact
  • Veilig en up-to-date CMS
  • Uitstekende support
Patrick de Vos

Als internetbureau in Groningen staan wij voor persoonlijke begeleiding en kwaliteit